Technologie 7 min czytania

Meta zbierała dane z klawiatur pracowników i nie umiała ich chronić

W czerwcu 2026 roku wyszło na jaw, że Meta gromadziła dane z laptopów swoich pracowników w USA — ruchy myszy, naciśnięcia klawiszy, treści ekranów — a następnie pozostawiła je dostępne wewnątrz firmy bez odpowiednich zabezpieczeń, obejmując tym aż 45 000 tabel Hive. Firma, która buduje jedne z najbardziej zaawansowanych systemów AI na świecie, nie potrafiła zadbać o podstawową kontrolę dostępu do danych własnych ludzi. Dla nas, jako redakcji śledzącej branżę od lat, to nie jest tylko „wpadka korporacyjna” — to sygnał, że w wyścigu po dane treningowe granice etyczne i techniczne są nagminnie przeciągane.

Co to jest Model Capability Initiative i po co Meta go uruchomiła?

Model Capability Initiative to wewnętrzny program Mety, uruchomiony w 2025 roku, którego celem było zbieranie szczegółowych danych behawioralnych z komputerów służbowych pracowników w Stanach Zjednoczonych. Program miał zasilić trenowanie tzw. agentów AI — modeli zdolnych do samodzielnego wykonywania zadań na komputerze, takich jak nawigacja po interfejsach, wypełnianie formularzy czy obsługa narzędzi firmowych.

Dzisiejsze duże modele językowe, w tym modele z rodziny Llama rozwijane przez Meta AI, świetnie radzą sobie z generowaniem tekstu i kodu, ale mają poważne trudności z obsługą graficznych interfejsów użytkownika (GUI). Kliknięcie właściwego przycisku w aplikacji, przejście przez wieloetapowy formularz czy praca w specjalistycznym narzędziu firmowym — to dla AI nadal zadania znacznie trudniejsze niż dla przeciętnego pracownika biurowego.

Meta uznała, że najlepszym materiałem treningowym będą autentyczne sesje pracy ludzkich pracowników. Zamiast symulować środowisko komputerowe w laboratorium, firma postanowiła nagrywać realne interakcje: co ktoś klikał, jakie skróty klawiaturowe stosował, jak poruszał kursorem i co w danym momencie widział na ekranie.

Jakie dane były zbierane i dlaczego budzi to poważne obawy?

Zakres zbieranych danych był rozległy — obejmował pełne logi naciśnięć klawiszy, zapis ruchów myszy i kliknięć, treści widoczne na ekranach oraz transkrypcje rozmów i pełne prompty wpisywane przez pracowników. Według wewnętrznych powiadomień ujawnionych w czerwcu 2026 roku, dane te trafiły do co najmniej 45 000 tabel w systemie Hive, czyli rozproszonym systemie zarządzania danymi powszechnie stosowanym w infrastrukturze Mety.

Nie chodzi tu o suche statystyki kliknięć. Zapis sesji pracy to w praktyce kronika dnia roboczego: jakie projekty ktoś prowadził, z kim rozmawiał, jakie dokumenty otwierał, co pisał w wiadomościach wewnętrznych. Takie dane mogą zawierać informacje wrażliwe nawet wtedy, gdy powstają na komputerze służbowym — w tym oceny pracownicze, dane klientów, fragmenty kodu zastrzeżonego czy kontekst negocjacji handlowych.

Według wewnętrznych doniesień z czerwca 2026 roku, Andrew Bosworth, CTO Mety, przyznał wewnątrz organizacji, że implementacja programu nie spełniła standardów wymaganych przez przegląd prywatności firmy. Bezpośrednim powodem było błędne skonfigurowanie list kontroli dostępu (Access Control Lists, ACL) — mechanizmu określającego, kto i na jakim poziomie ma prawo odczytywać dane w systemach wewnętrznych.

Redakcja IWD Partner: Historia Mety przypomina klasyczny paradoks bezpieczeństwa — ten, kto chce zbierać najbardziej wrażliwe dane, powinien mieć najlepsze procedury ich ochrony, a w praktyce często jest dokładnie na odwrót. Wyścig o dane treningowe dla agentów AI staje się tak intensywny, że firmy sięgają po zasoby wewnętrzne zanim zdążą zbudować odpowiednie ramy zarządzania nimi. Pytanie, które powinno paść głośno w branży: ile podobnych programów działa dziś w innych korporacjach, tyle że bez żadnego ujawnienia?

Jak doszło do naruszenia i co Meta zrobiła po odkryciu problemu?

Naruszenie polegało nie na zewnętrznym ataku hakerskim, lecz na zbyt szerokim wewnętrznym dostępie do zebranych danych. Błędnie skonfigurowane ACL sprawiły, że dane z komputerów pracowników — w tym pełne logi klawiszy i transkrypcje — były dostępne dla nieautoryzowanych pracowników Mety, czyli osób, które nie powinny mieć wglądu w ten materiał.

Meta po odkryciu problemu wstrzymała cały program Model Capability Initiative w celu przeprowadzenia wewnętrznego audytu. Firma oficjalnie oświadczyła w czerwcu 2026 roku, że nie posiada informacji wskazujących na nieuprawnione wykorzystanie tych danych przez pracowników. Deklaracja ta jest jednak trudna do zweryfikowania z zewnątrz, ponieważ przy tak rozproszonej strukturze danych (45 000 tabel Hive) pełna analiza dostępów wymaga znacznych zasobów i czasu.

Według niepotwierdzonych wewnętrznych informacji przytaczanych przez Spider’s Web w czerwcu 2026 roku, pracownicy Mety ostrzegali przed ryzykiem programu jeszcze przed jego pełnym wdrożeniem. Jeśli te sygnały się potwierdzą, oznaczałoby to, że organizacja miała wiedzę o potencjalnych problemach i mimo to zdecydowała się kontynuować zbieranie danych.

Dlaczego zbieranie danych o pracy człowieka jest tak cennym zasobem dla AI?

Trening agentów AI zdolnych do obsługi komputera wymaga danych innego rodzaju niż klasyczne modele językowe. O ile LLM (Large Language Models) uczy się na miliardach słów tekstu, agent działający w interfejsie graficznym potrzebuje przykładów sekwencji działań — co kliknąć, kiedy i w jakiej kolejności, by osiągnąć określony cel.

Dane z realnych sesji pracy ludzi dostarczają czegoś unikalnego: kontekstu intencji. Komputer rejestruje nie tylko „kliknięto przycisk X”, ale całą sekwencję — otwarcie aplikacji, wyszukanie opcji, cofnięcie błędnej akcji, ponowna próba. Takie dane uczą model rozumowania o zadaniach komputerowych w sposób zbliżony do ludzkiego procesu myślowego, a nie do sztywnych skryptów automatyzacji.

Firmy takie jak Google DeepMind (projekt SIMA, 2024) czy Anthropic (model Claude z funkcją Computer Use, 2024) inwestują ogromne środki właśnie w tę kategorię danych. Meta, chcąc nadrobić dystans w obszarze agentów AI, wybrała drogę na skróty — własni pracownicy jako niezamierzone źródło danych treningowych.

Dlaczego naruszenie prywatności pracowników przez Metę ma znaczenie?

Sprawa Mety wykracza poza jedną firmę i jeden program — ustanawia precedens dla całej branży technologicznej w kwestii tego, jak korporacje mogą traktować dane swoich pracowników w dobie wyścigu o AI. Według szacunków instytucji badawczej Gartner z 2025 roku, do końca dekady ponad 33% firm Fortune 500 wdroży jakąś formę monitorowania cyfrowej aktywności pracowników jako źródła danych do trenowania wewnętrznych systemów AI.

Pracownicy objęci programem Mety działali na komputerach służbowych w USA, gdzie regulacje dotyczące monitorowania miejsca pracy różnią się znacząco między stanami. Inaczej niż w Unii Europejskiej, gdzie RODO (General Data Protection Regulation) narzuca rygorystyczne wymogi zgody i proporcjonalności, prawo federalne w USA pozostawia firmom znaczną swobodę w zakresie nadzoru nad pracownikami na urządzeniach służbowych.

Przypadek Mety pokazuje również strukturalne ryzyko: dane zbierane w celach technicznych mogą — przez błąd konfiguracji lub celowe działanie — stać się dostępne dla działów HR, zarządzania lub konkurencji wewnątrz organizacji. 45 000 tabel z zapisem codziennej pracy to zasób, który można wykorzystać daleko poza pierwotnym zastosowaniem treningowym.

Powiązane pojęcia technologiczne

  • Agent AI — system sztucznej inteligencji zdolny do samodzielnego wykonywania wieloetapowych zadań na komputerze, w tym obsługi interfejsów graficznych i podejmowania decyzji bez stałego nadzoru człowieka.
  • Lista kontroli dostępu (ACL) — mechanizm zarządzania uprawnieniami w systemach informatycznych, określający które konta lub procesy mają prawo odczytywać, modyfikować lub usuwać konkretne zasoby danych.
  • Apache Hive — system zarządzania danymi zbudowany na platformie Hadoop, powszechnie stosowany przez duże firmy technologiczne do przechowywania i analizy ogromnych zbiorów danych strukturalnych.
  • Dane behawioralne — informacje rejestrujące wzorce zachowań użytkownika (kliknięcia, ruchy kursora, sekwencje działań), używane m.in. jako materiał treningowy dla modeli AI uczących się naśladować ludzką pracę na komputerze.
  • Computer Use — kategoria możliwości modeli AI polegająca na autonomicznej obsłudze interfejsu komputerowego, wprowadzona komercyjnie przez Anthropic w modelu Claude w październiku 2024 roku.

Na podstawie materiałów źródłowych.